【解決方法】イベント ID 64 証明書の有効期限の警告エラー

事象

アプリケーション イベント ログに、イベント ID 64 (ソース AutoEnrollment) の警告ログが継続されて記録されることがあります。

原因

イベント ID 64 は、個人の証明書の有効期間が切れそう、もしくは、すでに切れていることを警告するイベント ログです。

※証明書の有効期限は、証明書の “有効期間の終了” の項目より確認できます。
    この項目の日付が、現在のシステム時刻と比較して、証明書の有効期限が切れそうかどうかを判断されます。

個人の証明書は、Web サーバーのサーバー証明書などで利用されている可能性があります。
もし、サーバー証明書の有効期限が切れると、HTTPS サイトに接続できない等の問題が発生してしまいます。
そのため、証明書の有効期限が切れる前に、証明書の更新ができるように警告ログを記録してユーザーに警告する仕組みとなっています。

対象となる証明書は、”拇印” より特定できます。
イベント ID 64 の [説明] の項目に記載されている証明書の拇印と一致している証明書が対象です。

イベント ID 64 警告ログの記録タイミング

イベント ID 64 が記録される対象の証明書は、Active Directory 証明書サービスで構築した証明機関から発行された証明書となります。
イベント ID 64 が記録されるタイミングの算出ロジックとして、以下の 2 つの要素が影響します。

1. 証明書の有効期間の 20 %
2. 証明書テンプレートの更新期間

例えば、正味依処の有効期間が 2 年(730日)である場合、有効期間の 20 % は 720 × 0.2 = 146 日 となります。
また、証明書テンプレートの更新期間が 6 週間(既定)である場合、更新期間は 6 ×7 = 42 日となります。

イベント ID 64 の記録タイミングの算出にあたり、まず①と②の日数が比較されます。
①と②の要素を比較した結果、以下の通りにイベント ID 64 が記録されるタイミングが決まります。

① の方が長い場合
①証明書の 20% の日数が、②の証明書テンプレートの更新期間の日数より長い場合です。
その場合、イベント ID 64 が記録される条件は、証明書の有効期限の残りの日数が、証明書テンプレートの更新期間の日数の半数を切った後です。

例えば、証明書の有効期間が 2 年(730 日)、証明書テンプレートの更新期間が 6 週間(42 日)を想定します。
①の730×0.2=146 日の方が、②の 42 日より長いです。
その場合、ID 64 警告ログが記録されるのは、有効期限の 42 ÷ 2 = 21 日前からです。

② の方が長い場合
②の証明書テンプレートの更新期間の日数が、①証明書の 20% の日数より長い場合です。
その場合、イベント ID 64 が記録される条件は、証明書の有効期限が 10% を切った後です。

例えば、証明書の有効期間が 半年(182 日)、証明書テンプレートの更新期間が 6 週間(42 日)を想定します。
②の 42 日の方が、①の182×0.2=36.4日より長いです。
その場合、ID 64 警告ログが記録されるのは、有効期限の 182 x 0.1 = 18 日前からです。

対処策

イベント ID 64 は、個人の証明書の有効期間が切れそう、もしくは、すでに切れていることを警告するイベント ログです。
イベント ID 64 のエラーを解消するには、証明書を削除する、もしくは、証明書を更新のいずれかです。

まずは、ローカル コンピューターのアカウントの証明書を開き、対象の証明書を特定します。
その後に、対象の証明書の削除、もしくは更新を実施してください。
(削除する場合は、対象の証明書が利用されていないことを確認した上で行ってください。)

証明書の削除手順

1) [ファイル名を指定して実行] を開き、certlm.msc と入力して [OK] をクリックします。

2) イベント ID 64 に記載されている拇印の証明書を右クリックして [削除] をクリックします。

3) “この証明書を削除しますか?” と表示されたら、[OK] をクリックします。

証明書の更新手順

1) [ファイル名を指定して実行] を開き、certlm.msc と入力して [OK] をクリックします。

2) イベント ID 64 に記載されている拇印の証明書を右クリックして [すべてのタスク] – [新しいキーで証明書を書き換え] をクリックします。

3) [開始する前に] にて、[次へ] をクリックします。

4) [証明書の要求] にて、[登録] をクリックします。